第10章 數(shù)據(jù)庫(kù)系統(tǒng)安全

1、Network and Information Security1第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全Network and Information Security2第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)是計(jì)算機(jī)科學(xué)的一個(gè)重要分支，任何信息管理的應(yīng)用都離不開數(shù)據(jù)庫(kù)的支持。隨著網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)庫(kù)已經(jīng)與網(wǎng)絡(luò)緊密地結(jié)合起來(lái)。數(shù)據(jù)庫(kù)系統(tǒng)安全的重要性不亞于網(wǎng)絡(luò)安全的重要性。數(shù)據(jù)庫(kù)系統(tǒng)的安全有它獨(dú)有的特點(diǎn)。本章將討論數(shù)據(jù)庫(kù)的安全問(wèn)題。Network and Information Security3第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)

2、庫(kù)系統(tǒng)安全10.1數(shù)據(jù)庫(kù)安全概述數(shù)據(jù)庫(kù)安全概述 安全問(wèn)題注釋物理上的數(shù)據(jù)庫(kù)完整性預(yù)防數(shù)據(jù)庫(kù)物理方面的問(wèn)題，如掉電，以及當(dāng)被災(zāi)禍破壞后能重構(gòu)數(shù)據(jù)庫(kù)邏輯上的數(shù)據(jù)庫(kù)完整性保持?jǐn)?shù)據(jù)的結(jié)構(gòu)，比如：一個(gè)字段的值的修改不至于影響其他字段元素的完整性包含在每個(gè)元素中的數(shù)據(jù)都是準(zhǔn)確的可審計(jì)性能夠追蹤到誰(shuí)訪問(wèn)修改過(guò)數(shù)據(jù)的元素訪問(wèn)控制允許用戶只訪問(wèn)被批準(zhǔn)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問(wèn)模式，如讀或?qū)懹脩粽J(rèn)證確保每個(gè)用戶被正確地識(shí)別，既便于審計(jì)追蹤，也為了限制對(duì)特定的數(shù)據(jù)進(jìn)行訪問(wèn)可獲（用）性用戶一般可以訪問(wèn)數(shù)據(jù)庫(kù)以及所有被批準(zhǔn)訪問(wèn)的數(shù)據(jù)Network and Information Security4第第101

3、0章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.1.1 數(shù)據(jù)庫(kù)安全技術(shù)(1)存取控制技術(shù)(2)隔離控制技術(shù)(3)加密技術(shù)(4)信息流向控制技術(shù)(5)推理控制技術(shù)(6) 數(shù)據(jù)備份技術(shù) Network and Information Security5第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.1.2 多級(jí)數(shù)據(jù)庫(kù)多級(jí)數(shù)據(jù)庫(kù)一般情況下，我們可以確定整個(gè)數(shù)據(jù)庫(kù)是敏感的(要求保密)或不敏感的(不要求保密)。細(xì)一點(diǎn)，可以確定庫(kù)中的某個(gè)基表(對(duì)于關(guān)系型數(shù)據(jù)庫(kù))是敏感的或不敏感的。但有時(shí)情況卻復(fù)雜得多。Network and Information Security6第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系

4、統(tǒng)安全姓名、部門和電話這三列是不需保密的，任何人都可以查詢。但是工資和績(jī)效考核卻是必須保密的(現(xiàn)在很多企業(yè)都搞所謂的“密薪制”)，這說(shuō)明基表中只有部分字段是敏感的。姓名部門工資電話績(jī)效考核張三培訓(xùn)李四技術(shù)部25002171420良王五辦公室16002582322中趙六客戶服務(wù)部20002582254良Network and Information Security7第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全也許李四是一個(gè)特殊人物，他的所有情況都要保密，甚至他的存在都是一個(gè)秘密。趙六的電話也許很重要，不想被別人知道。這些數(shù)據(jù)的安全要求與工資與績(jī)效考核兩個(gè)字段的安全要

5、求是不一樣的。姓名部門工資電話績(jī)效考核張三培訓(xùn)李四技術(shù)部25002171420良王五辦公室16002582322中趙六客戶服務(wù)部20002582254良Network and Information Security8第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全1.一個(gè)元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值。也就是說(shuō)，一個(gè)元素的敏感度可能不同于同一行或同一列的其他元素。這要求應(yīng)該對(duì)每個(gè)元素單獨(dú)實(shí)行安全保護(hù)。2.敏感和不敏感兩種級(jí)別不足以描繪某些安全要求，需要多個(gè)安全級(jí)別。3.集合安全不同于單個(gè)元素的安全，如數(shù)據(jù)庫(kù)中的和、平均值。集合安全可能高于也

6、可能低于單個(gè)元素的安全。Network and Information Security9第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)加密的必要性數(shù)據(jù)庫(kù)加密的必要性雖然DBMS在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施，例如基于權(quán)限的訪問(wèn)控制等，但操作系統(tǒng)和DBMS對(duì)數(shù)據(jù)庫(kù)文件本身仍然缺乏有效的保護(hù)措施，有經(jīng)驗(yàn)的黑客會(huì)“繞道而行”，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫(kù)文件內(nèi)容。這種隱患被稱為通向DBMS的“隱秘通道”，它所帶來(lái)的危害一般數(shù)據(jù)庫(kù)用戶難以覺(jué)察。分析和堵塞“隱秘通道”被認(rèn)為是B2級(jí)的安全技術(shù)措施。對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加密處理，是堵塞這一“隱秘通道”的有效手段。10.2 10.2

7、 數(shù)據(jù)庫(kù)加密數(shù)據(jù)庫(kù)加密 Network and Information Security10第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.2.1 10.2.1 數(shù)據(jù)庫(kù)加密的基本要求數(shù)據(jù)庫(kù)加密的基本要求一般來(lái)說(shuō)，一個(gè)良好的數(shù)據(jù)庫(kù)加密系統(tǒng)應(yīng)該滿足以下基本要求：1.支持各種粒度加密2.良好的密鑰管理機(jī)制3.合理處理數(shù)據(jù)4.不影響合法用戶的操作Network and Information Security11第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.2.2 10.2.2 數(shù)據(jù)庫(kù)加密的方式數(shù)據(jù)庫(kù)加密的方式1.操作系統(tǒng)層加密2.DBMS內(nèi)核層實(shí)現(xiàn)加密 3.DBMS外層實(shí)現(xiàn)加密 DBMS內(nèi)

8、核加密引擎客戶程序DBMS內(nèi)核加密引擎客戶程序Network and Information Security12第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)加密系統(tǒng)分成兩個(gè)功能獨(dú)立的主要部件：一個(gè)是加密字典及其管理程序，另一個(gè)是數(shù)據(jù)庫(kù)加/解密引擎Network and Information Security13第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.2.3 10.2.3 數(shù)據(jù)庫(kù)加密的方法及加密粒度數(shù)據(jù)庫(kù)加密的方法及加密粒度數(shù)據(jù)庫(kù)加密如果采用序列密碼，那么同步將成為一個(gè)大問(wèn)題。當(dāng)需要對(duì)大片密文中的極小部分解密時(shí)，如何同步密文與密鑰呢？所以數(shù)據(jù)庫(kù)加密一般采用分組密碼。對(duì)于分

9、組密碼中常用的ECB和CBC兩種模式，又該如何確定呢？考慮到數(shù)據(jù)庫(kù)中會(huì)有大量相同的數(shù)據(jù)，比如性別、職務(wù)、年齡等信息，我們應(yīng)該采用CBC模式。對(duì)于在DBMS上實(shí)現(xiàn)的加密，加密的粒度可以細(xì)分為基表、記錄、字段或數(shù)據(jù)元素。Network and Information Security14第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.2.4 10.2.4 數(shù)據(jù)庫(kù)加密系統(tǒng)的密鑰管理數(shù)據(jù)庫(kù)加密系統(tǒng)的密鑰管理Network and Information Security15第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.3.1 10.3.1 統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全問(wèn)題統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全問(wèn)題 具體地說(shuō)，

10、統(tǒng)計(jì)數(shù)據(jù)庫(kù)是這樣一種數(shù)據(jù)庫(kù)；從庫(kù)中取得的信息是關(guān)于一實(shí)體集子集的匯總信息。統(tǒng)計(jì)數(shù)據(jù)庫(kù)只為提供統(tǒng)計(jì)數(shù)據(jù)所用，如人口普查數(shù)據(jù)庫(kù)就是這樣。在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中，除了禁止非法存取等一般安全問(wèn)題外，還存在特殊的安全問(wèn)題。保護(hù)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的目的是，由該數(shù)據(jù)庫(kù)發(fā)布統(tǒng)計(jì)信息時(shí)，保證不會(huì)使其中受保護(hù)的具體信息泄露。10.3 10.3 統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全 Network and Information Security16第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全一般的統(tǒng)計(jì)數(shù)據(jù)庫(kù)有下面幾種統(tǒng)計(jì)信息類型：1.計(jì)數(shù)：count(c)，求滿足特征表達(dá)式c的記錄個(gè)數(shù)。2.求和：sum(c,a)，求滿足特征表達(dá)式

11、c的記錄中字段a的和。3.求平均值：average(c,a)，求滿足特征表達(dá)式c的記錄中字段a的平均值。4.求最大值：max(c,a)，求滿足特征表達(dá)式c的記錄中字段a的最大值。5.求最小值：min(c,a)，求滿足特征表達(dá)式c的記錄中字段a的最小值。Network and Information Security17第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全 用戶通過(guò)一些統(tǒng)計(jì)數(shù)據(jù)庫(kù)允許的合法查詢，可以得到本來(lái)對(duì)他保密的信息?？梢?jiàn)，統(tǒng)計(jì)數(shù)據(jù)庫(kù)遠(yuǎn)不是安全保密的，而且，前面介紹的一般數(shù)據(jù)庫(kù)的訪問(wèn)控制并不能解決統(tǒng)計(jì)數(shù)據(jù)庫(kù)的泄密問(wèn)題，因?yàn)樗饕窍拗朴脩舻拇嫒?quán)力，用戶只能對(duì)數(shù)據(jù)庫(kù)中的一部分?jǐn)?shù)據(jù)進(jìn)

12、行訪問(wèn)。而在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中，保密的目標(biāo)應(yīng)該是防止用戶通過(guò)一系列“合法”的統(tǒng)計(jì)查詢，使“不合法”的要求得到滿足，也就是防止用戶從一系列查詢中推理出某些秘密信息，這時(shí)我們要實(shí)行的控制稱為“推理控制”。Network and Information Security18第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.3.2 10.3.2 安全性與精確度安全性與精確度全部統(tǒng)計(jì)信息S發(fā)布統(tǒng)計(jì)信息R泄露統(tǒng)計(jì)信息D非機(jī)密統(tǒng)計(jì)信息P機(jī)密統(tǒng)計(jì)信息機(jī)密統(tǒng)計(jì)信息統(tǒng)計(jì)數(shù)據(jù)庫(kù)Network and Information Security19第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.3.3 10.3.3 對(duì)

13、統(tǒng)計(jì)數(shù)據(jù)庫(kù)的攻擊方式對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的攻擊方式1.小查詢集和大查詢集攻擊2.跟蹤器攻擊3.插入和刪除攻擊4.對(duì)線性系統(tǒng)的攻擊Network and Information Security20第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.3.4 10.3.4 統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全措施統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全措施第一類：對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的查詢加以限制。 1.限制查詢集的大小2.單元隱蔽3.最大階控制4.數(shù)據(jù)庫(kù)分割第二類：數(shù)據(jù)攪亂方式。Network and Information Security21第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.4.1 10.4.1 WebWeb數(shù)據(jù)庫(kù)概述數(shù)據(jù)庫(kù)概述由于

14、Web的易用性、實(shí)用性，它很快占據(jù)了Internet服務(wù)的主導(dǎo)地位，已經(jīng)成為使用最為廣泛、最有前途、最有魅力的信息傳播技術(shù)。不過(guò)，Web服務(wù)只是提供了Internet上信息交互的平臺(tái)。隨著Internet技術(shù)的興起與發(fā)展和Web技術(shù)的蓬勃發(fā)展，人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息，人們需要通過(guò)它發(fā)表意見(jiàn)、查詢數(shù)據(jù)，甚至進(jìn)行網(wǎng)上購(gòu)物,這就迫切需要實(shí)現(xiàn)動(dòng)態(tài)的Web信息服務(wù)。10.4 10.4 WebWeb數(shù)據(jù)庫(kù)的安全數(shù)據(jù)庫(kù)的安全 Network and Information Security22第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全10.4.2 10.4.2 常用的幾種常用的幾

15、種WebWeb數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)當(dāng)前比較流行的Web數(shù)據(jù)庫(kù)主要有：1.SQL Server2.MySQL3.Oracle這3種數(shù)據(jù)庫(kù)適應(yīng)性強(qiáng)，性能優(yōu)異，容易使用，在國(guó)內(nèi)得到了廣泛的應(yīng)用。Network and Information Security23第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全9.4.3 9.4.3 WebWeb數(shù)據(jù)庫(kù)安全簡(jiǎn)介數(shù)據(jù)庫(kù)安全簡(jiǎn)介(1) 突破客房端腳本的限制 (2)對(duì)SQL語(yǔ)句的攻擊程序中的SQL查詢語(yǔ)句（以ASP.net為例，username.Text與passwd.Text是用戶名與口令兩個(gè)文本框的值）可能是：sql=select * from user wher

16、e username= + username.Text + and passwd= + passwd.Text + ;執(zhí)行的時(shí)候就是：select * from user where username=cheng and passwd=1234Network and Information Security24第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全根據(jù)返回的數(shù)據(jù)集是否為空來(lái)判斷是否能夠登錄。如果攻擊者在passwd文本框里輸入的不是1234，而是1111 or 1=1，SQL語(yǔ)句就成為：select * from user where username=cheng and passwd

17、=1111 or 1=1 由于1=1恒為真，即使口令不對(duì)也沒(méi)關(guān)系，這條語(yǔ)句肯定能返回?cái)?shù)據(jù)集。實(shí)際上，用戶名對(duì)不對(duì)也沒(méi)有關(guān)系。這就是著名且古老的1=1攻擊。安全的辦法是在程序中增加對(duì)單引號(hào)等特殊字符的過(guò)濾。 Network and Information Security25第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全(3) 利用多SQL語(yǔ)句執(zhí)行漏洞s e l e c t * f r o m b o o k w h e r e bookname=linux入門如果我們輸入的不是linux入門而是linux入門;delete book -，則執(zhí)行語(yǔ)句變?yōu)椋簊elect * from book w

18、here bookname=linux入門;delete book -其中-的作用是把最后一個(gè)單引號(hào)注釋掉，從而構(gòu)成對(duì)表的刪除。(4) 包含文件泄露Network and Information Security26第第1010章章 數(shù)據(jù)庫(kù)系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)安全在進(jìn)行SQL Server數(shù)據(jù)庫(kù)的安全配置之前，首先你必須對(duì)操作系統(tǒng)進(jìn)行安全配置，保證你的操作系統(tǒng)處于安全狀態(tài)。然后對(duì)你要使用的操作數(shù)據(jù)庫(kù)軟件（程序）進(jìn)行必要的安全審核，比如對(duì)ASP、PHP等腳本，這是很多基于數(shù)據(jù)庫(kù)的WEB應(yīng)用常出現(xiàn)的安全隱患。對(duì)于腳本主要是一個(gè)過(guò)濾問(wèn)題，需要過(guò)濾一些類似單引號(hào)的特殊字符，防止破壞者構(gòu)造惡意的SQL語(yǔ)句。接著，安裝SQL Server后請(qǐng)打上最新補(bǔ)丁。 10.5 10.5 SQL ServerSQL Server數(shù)據(jù)庫(kù)的安數(shù)